ADVERTISEMENT
電子郵件數量激增,網路釣魚攻擊也隨之增加。不僅是攻擊的數量或頻率令人擔憂,還有它們持續演變、由 AI 驅動的複雜性。為了更好地鎖定受害者,攻擊者不斷更新和修改他們的網路釣魚技術。讓我們來探索最近被網路安全研究人員發現的一些新型電子郵件網路釣魚詐騙。
1、剪貼簿劫持
所謂的「剪貼簿劫持」(Pastejacking)是一種巧妙的技術,威脅行為者誘騙受害者複製/貼上並在他們的設備上運行惡意程式碼。攻擊從一封包含緊急句子的網路釣魚電子郵件開始,敦促收件人打開 HTML 附件。當檔案被打開時,會出現一個假的 OneDrive 資料夾,但它引用了 Microsoft 雲端儲存服務的一些錯誤訊息。然後,受害者會看到一個「如何修復」按鈕,提供有關如何打開 Windows 終端和 PowerShell 控制台並貼上特定程式碼行的分步說明。當受害者按照這些說明操作時,惡意軟體會立即被載入,進而可以隨時存取使用者的數據和環境。
2、透過 Google 繪圖進行網路釣魚
研究人員最近偶然發現了一種有趣的網路釣魚攻擊,騙子利用 Google Drawings(一種協作繪圖工具)來逃避檢測。透過這種技巧,使使用者會收到一個看似是 Amazon 帳戶驗證的連結,而該連結實際上是托管在 Google 繪圖工具上的圖形。由於安全團隊將此工具視為安全工具,該釣魚郵件便可躲過檢測。由於郵件內容看似緊急,使用者會點擊驗證連結,該連結包含一個使用 WhatsApp URL 短網址隱藏的網址。當受害者進入偽裝的 Amazon 頁面後,他們被要求完成一項安全檢查,需輸入個人資料,如出生日期、電話號碼、帳單地址和信用卡訊息。
3、濫用 URL 保護服務
隨著安全工具對惡意 URL 的檢測變得更為有效,詐騙者越來越多地濫用 URL 保護服務,這原本是為了防範釣魚攻擊而設計的。這些服務的工作原理是:URL 保護會重寫業務電子郵件帳戶收到的連結,並將其重新導向回保護服務,以掃描原始連結是否存在惡意內容。如果未發現威脅,使用者將被重定向回原始 URL。壞人會設法入侵使用 URL 保護服務的業務帳戶,然後重寫並重新嵌入他們自己的釣魚連結。一旦完成這一步,這些被重新包裝的 URL 就會用於有針對性的釣魚活動。目前,大多數 URL 保護提供者無法分辨這些服務是否由合法使用者或入侵者使用。
4、混合大規模釣魚攻擊與定向式魚叉釣魚攻擊
研究人員發現了一種新的電子郵件釣魚攻擊趨勢,似乎混合了定向式釣魚和大規模釣魚技術。定向式釣魚與大規模釣魚技術通常不同。定向式釣魚針對特定個人(或群體),使用模仿受信任實體的電子郵件內容和風格。而大規模釣魚活動則將通用郵件發送給大量地址。自 2023 年底以來,大規模電子郵件開始顯示出個性化跡象,例如收件人會以他們的姓名或公司名稱被稱呼。發件人名稱被偽裝,以增加真實感。這一演變表明,攻擊者正在利用人工智慧工具來大規模個性化攻擊,並提升電子郵件設計、傳遞和內容的品質。
5、即時網路釣魚
即時釣魚是中間人攻擊的一種特定變體,主要是為了繞過傳統的雙因素認證機制。例如,潛在受害者收到將他們引導到欺詐性銀行網站的釣魚郵件(或消息)。當使用者輸入他們的憑證,即使用者名和密碼、一次性密碼或代碼時,這些訊息會被詐騙者竊取。使用者被重定向回他們原始的銀行網站,因為偽造的頁面連接到真正的銀行網站。這種即時釣魚攻擊現在相當普遍。暗網市場上有現成的釣魚工具包,能夠繞過傳統的多因素安全控制。
用於網路釣魚個人的其他駭客技術包括使用 Microsoft 表單、QR 碼、聊天機器人和其他多管道方法,將電子郵件網路釣魚與簡訊、即時通訊、社群媒體和協作工具相結合。眾所周知,網路釣魚者還會利用最近的世界事件,例如全球 CrowdStrike 停電和巴黎奧運會來進行攻擊。
如何應對威脅
以下是組織可以減少網路釣魚攻擊的三種方法:
- 透過定期培訓提高使用者抗風險能力:教導員工網路安全的重要性以及保持警惕和謹慎意識的必要性。進行網路釣魚模擬測試,培訓使用者辨識詐騙。培訓內容包括社群媒體、deepfakes 和商業電子郵件入侵 (BEC) 等主題。透過新聞簡報和通信向使用者介紹最新的網路釣魚技術。鼓勵舉報可疑電子郵件以防止傳播。
- 使用基於 PKI 或基於 FIDO2 的多因素認證(MFA):攻擊者可以繞過傳統的多因素身份驗證 (MFA)。透過使用基於智慧卡片的 MFA 或使用實體令牌的 MFA(防網路釣魚 MFA),團隊可以降低網路釣魚攻擊成功的風險。
- 簡化網路釣魚政策和協議:所有組織都必須強制要求員工閱讀、簽署並同意可接受使用政策。該政策應強調使用強密碼(和密碼管理器)、定期更新系統和軟體,以及避免使用未經授權的軟體、不安全的物聯網設備和未經授權的個人電腦,包括硬體、軟體和服務(影子 IT)的重要性。
為了使減少措施取得成功,團隊必須將這些應對技術視為一個持續的過程,了解網路釣魚技術的演變,調整安全控制、政策和流程,並通過正確的知識、意識培訓和技能來教育和授權員工。
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!